Eine Einführung zur Digitalen Selbstverteidigung
von
Clemens Kommerell
in Zusammenarbeit mit Alexander Katzmann und Illustrationen von Timotheé Ingen-Housz
Arguing that you don’t care about the right to privacy because you have nothing to hide is no different than saying you don’t care about free speech because you have nothing to say.
Edward Snowden
Einleitung
Wer nicht gegen Überwachung kämpft, akzeptiert die Einschränkung seiner
Freiheit.
Diese Seite zeigt Dir, wie Du Dich dagegen wehren kannst. Sie ist ein Beitrag für Deine Digitale
Selbstverteidigung. Als eine einführende Sammlung und Informationsquelle richtet sie sich
insbesondere an alle, die sich bisher nicht mit den Themen Datenschutz und Überwachung
auseinandergesetzt haben.
Hier bekommst Du keine komplizierten Codes oder unverständliche Maßnahmen vorgeschlagen. Es
reichen
wenige Programme und Einstellungen, die für Dich wenig Aufwand bedeuten. Diese kleinen
Veränderungen
merkst Du bei der Nutzung Deines Computers oder Smartphones kaum. Auch wenn es keine absolute
Sicherheit gibt, machst Du es datenhungrigen Unternehmen oder Behörden wesentlich schwerer,
Informationen über Dich zu sammeln.
Die hier vorgestellten Programme und Maßnahmen bieten eine gute Grundlage, um in die Digitale
Selbstverteidigung einzusteigen. Allerdings gibt es im Internet eine Konstante: Veränderung.
Schon
morgen können Behörden und Unternehmen Strategien entwickelt haben, die Tools zu umgehen. Wer
sich
schützen will, muss sich kontinuierlich informieren.
Start To Protect Your Digital Identity!
Du hast nichts zu verbergen?
Gerne wird Überwachung mit dem Argument hingenommen, man habe ja nichts zu verbergen. Bist Du Dir
sicher? Tust Du nichts, was irgendjemanden da draußen interessieren könnte?
Durch Dein Smartphone wissen Google, Facebook und Co, wann und mit wem Du schlafen gehst, wann Du
morgens wach wirst, ob Du auf dem Weg zur Arbeit im Stau stehst und an welchem Ort Du Dein Geld
verdienst. Und Du selbst erzählst Facebook, welches Essen Du magst, welche Musik Du am liebsten
hörst und wo Du am liebsten Shoppen gehst. Und die Geheimdienste wissen, was Google und Facebook
wissen. Jedes Klicken und jedes Wischen kann auf unserem Smartphone eine Kette an Daten auslösen,
die sich direkt auf unser digitales und analoges Leben auswirken.
Für die Diskussion rund um das Thema Überwachung ist es irrelevant, ob Du etwas zu verbergen hast.
Es geht vielmehr darum, dass die Gesellschaft widerstandslos eine Massenüberwachung zulässt, ohne
einen Blick in die Zukunft zu werfen. Was jemand zu verbergen hat, ist schließlich abhängig vom
Zeitgeist und der politischen Entwicklung. Was heute noch als normal gilt, kann morgen schon
verdächtig und unmoralisch erscheinen.
Noch nie war eine vollständige Überwachung so billig und technisch so einfach umsetzbar wie heute.
Noch nie konnten Staaten so problemlos und mit einer so simplen Begründung wie der Terrorismusabwehr
tief in Deine Privatsphäre vordringen. Spätestens seit den Enthüllungen Edward Snowdens im Jahr 2013
ist die Massenüberwachung durch staatliche Geheimdienste öffentlich belegt.
Überwachung funktioniert wie die Geschichte vom heißen Wasser und dem Frosch: Er sitzt ruhig im Topf
und merkt nichts, bis es zu spät ist. Wir werden immer stärker überwacht und spüren es genauso
wenig. Im Gewöhnungseffekt liegt die Gefahr für Deine Privatsphäre. Die permanente Überwachung führt
dazu, dass aus der Unschuldsvermutung eine Schuldvermutung wird. Für den Staat bist Du potenziell
verdächtig. Und deshalb lässt er seine Geheimdienste nach bestimmten Verhaltensmustern suchen. So
interessiert er sich beispielsweise für Bewegungsprofile, die er vorher als verdächtig typisiert
hat. Was verdächtig ist, bestimmen die Behörden selbst. Aufgrund solcher und unzähliger anderer
Daten landeten mindestens 1,2 Millionen Menschen auf den Überwachungslisten der amerikanischen
National Security Agency (NSA). Viele dieser Personen werden nicht einmal mehr verdächtigt, ihre
Daten bleiben aber selbst dann gespeichert, wenn sie als nutzlos klassifiziert werden. Tatsächlich
ist die Überwachung der eigenen Bevölkerung in den meisten demokratischen Ländern verboten. Umgehen
lassen sich die Gesetze durch Kooperationen mit ausländischen Geheimdiensten. So hatte der BND die
NSA Deutsche durchleuchten lassen. Seit dem NSA-Skandal ist klar: Es werden nicht die Fehler der
Nachrichtendienste sanktioniert, sondern ihr Fehlverhalten wird mit einer Gesetzesinitiative
legalisiert.
Neben der staatlichen Überwachung durch Geheimdienste sind auch Unternehmen an Deinen Daten
interessiert. Noch immer sind viele Verbindungen im Internet unverschlüsselt und ein Mitlesen der
übertragenen Informationen ist für Internetanbieter und Webseitenbetreiber ein Kinderspiel. Generell
gilt: Für viele kostenlose Internetanwendungen bezahlen wir mit unseren Daten. Es ist wichtig zu
verstehen, dass Du bei Google, Facebook und Co. nicht der Kunde, sondern das Produkt bist, dessen
Daten weiterverkauft werden. Deine Daten sind der Rohstoff für Werbetreibende und
Versicherungskonzerne. Selbst wenn die Daten nicht aktiv weiterverkauft werden, können sie von
Drittanbietern unter Umständen genutzt werden. So wurde Anfang des Jahres 2018 bekannt, dass die
Datenanalysefirma Cambridge Analytica die Daten von mehr als 87 Millionen Facebook-Nutzern
unrechtmäßig abschöpfen konnte. Bis heute ergaben sich für Facebook keine rechtlichen Konsequenzen
aus dieser Affäre, obwohl das Unternehmen seit 2015 über den Vorgang Bescheid wusste.
Du musst gar nicht im Internet surfen, um eine Datenspur zu hinterlassen. In unserem Alltag entsteht
eine Vielzahl von Daten. Das elektronische U-Bahn Ticket erfasst Ein- und Ausstiegsorte,
Einkaufsbonusprogramme analysieren Deine Kaufkraft, die Bankkarte zeichnet Deine Bezahlvorgänge auf
und Dein Staubsauger-Roboter erstellt einen Grundriss Deiner Wohnung, den er im Internet verkauft.
Besonders Smartphones und andere Smart-Devices bündeln durch ihre vielseitigen Anwendungsbereiche
Deinen Datenstrom. Eines von vielen Beispielen sind Krankenkassen, die Deine Bewegungsdaten
verwenden können, um Dir an Dein Fitnesslevel angepasste Versicherungstarife anzubieten. Bei einigen
privaten Versicherungen ist dieses Modell bereits Praxis. Noch ist die Angabe dieser Daten
freiwillig, doch langfristig, droht Datensparsamkeit zum Luxusgut zu werden. Dass dabei
Persönlichkeitsrechte missachtet werden, wird selten beleuchtet. Noch enger wird es für Deine
Privatsphäre durch Datenhändler und ihr Geschäftsmodell: Sie kaufen Deine Daten aus
unterschiedlichen Quellen, führen sie zu umfassenden Profilen zusammen und bieten Dein Profil dann
anderen Unternehmen zum Kauf an.
Neben der kommerziellen Verwendung Deiner Daten haben auch Behörden Zugriff auf die gespeicherten
Informationen. Da US-amerikanische Unternehmen durch den “National Security Letter” zur
Zusammenarbeit mit der NSA verpflichtet sind, wissen die Geheimdienste, was Du tust.
Alle wollen Deine Metadaten!
Die Daten, die staatliche Institutionen und Unternehmen speichern, sind überwiegend Metadaten.
Befürworter der Überwachung sagen gerne, es handele sich ja “nur” um Metadaten. Doch genau diese
geben einen detaillierten Einblick in Dein Leben. Also was genau sind Metadaten?
Metadaten sind “Daten über Daten” und können als digitales Äquivalent eines Briefumschlags
betrachtet werden. Anhand des Umschlags kennt man Empfänger und Absender, aber nicht den Inhalt
des
Briefs. So werden bei der Erfassung von Metadaten nicht die Inhalte Deines Telefongesprächs
aufgezeichnet, dafür aber der Ort, die Uhrzeit, die Dauer und Eure Telefonnummern. Anhand dieser
Daten lassen sich komplexe Bewegungs- und Handlungsmuster erkennen. Auch Freundeskreise und die
berufliche Kommunikation lassen sich erfassen und voneinander unterscheiden. Weitere Metadaten
sind
zum Beispiel E-Mail Betreffzeilen, IP-Adressen sowie Empfänger und Sender von SMS und E-Mails.
Metadaten lassen sich zählen, kategorisieren und in Datensätzen zusammenfassen. Das macht es
einfach, sie auszuwerten. Durch Metadaten lässt sich erkennen, wann Du im Urlaub bist, weil Du
Dein
Verhalten dann veränderst. Anhand Deiner veränderten Tagesabläufe lassen sich auch
Schwangerschaften, Krankheiten und vieles mehr erkennen. Ein Teil der Metadaten ist notwendig,
um
Services erst zu ermöglichen, denn ohne Handynummer kannst Du keine SMS verschicken. Möglichst
wenig
Metadaten zu produzieren, ist gar nicht so leicht und Du kannst Metadaten weder verschlüsseln
noch
blockieren.
Es braucht also gesetzliche Regelungen, um eine missbräuchliche Verwendung zu verhindern.
Stattdessen verpflichten die Gesetze in Deutschland die Anbieter von Telekommunikation und
Internetzugängen sogar dazu, alle Daten ihrer Nutzer für eine bestimmte Zeit zu speichern. In
Deutschland wurde diese Praxis mehrfach als verfassungswidrig erklärt und es wurden
Gesetzesänderungen gefordert. Die aktuellen Regelungen sehen Speicherzeiten zwischen vier und
zehn
Wochen für Deine Metadaten vor.
Viele Apps wie Facebook, speichern die Daten ihrer Nutzer jedoch jahrelang. Sie werden unter
anderem
dazu verwendet, zukünftige Verhaltensweisen zu berechnen. Und: Dank Edward Snowden wissen wir,
dass
auch die Geheimdienste Metadaten illegal speichern.
Neben der kommerziellen Verwendung Deiner Daten haben auch Behörden Zugriff auf die
gespeicherten
Informationen. Da US-amerikanische Unternehmen durch den “National Security Letter” zur
Zusammenarbeit mit der NSA verpflichtet sind, wissen die Geheimdienste, was Du tust.
“hallo123” - Passwörter und Passsätze
Passwörter sind die Schlüssel zu Deinen persönlichen Daten im Internet. Du brauchst also gute
Passwörter, um Dich zu schützen. Ein gutes Passwort soll lang und kompliziert sein,
Sonderzeichen, Zahlen und große sowie kleine Buchstaben beinhalten. Je länger, komplexer und
ungewöhnlicher Dein Passwort ist, desto länger braucht ein Angreifer, um es zu ermitteln. Bei
einem Passwort mit elf Stellen in ungewohnter Kombination benötigt ein Computer ungefähr 700
Jahre, um den Passwortschutz zu durchbrechen. Bei dem beliebtesten Passwort der Internetnutzer
im deutschsprachigen Raum “123456” braucht ein Rechner jedoch nur 0.00047 Sekunden.
Bei einem Angriff werden zunächst die bekanntesten Passwörter in verschiedenen Sprachen
getestet. Zudem sollten keine persönlichen Daten wie Name oder Geburtstag im Passwort enthalten
sein.
Xt87kop+?,H7!“l?a6k wäre also ein gutes Passwort. Da Du aber für jeden Zugang ein anderes
komplexes Passwort verwenden solltest, wäre es ganz schön kompliziert, sich das alles zu merken.
Es gibt zwei einfache Lösungen für dieses Problem: Eine Möglichkeit sind Programme zum Managen
und Erstellen von Passwörtern. Die andere Option ist, anstelle von Passwörtern Passsätze zu
verwenden. Diese sollten auch Sonderzeichen und Zahlen beinhalten. Ein Passsatz lässt sich
einfacher merken, als eine wirre Kombination einzelner Zeichen. Ab und an solltest Du Deine
Passsätze auch wechseln. Und damit Du das nicht vergisst, wurde der “Change Your Password Day”
ausgerufen. Er ist immer am 1. Februar.
Diceware
Diceware bezeichnet eine Methode, mit der Du auf spielerische Art und Weise ungewöhnliche
und wirkungsvolle Passsätze erstellen kannst. Dafür brauchst Du einen Würfel und eine
Diceware Wort- und Zeichenliste, die Du leicht im Internet findest. Jedes Wort oder Zeichen
auf der Liste entspricht einer fünfstelligen Kombination der Ziffern 1 bis 6. Fünf Mal
würfeln ergibt also immer ein Wort. Zum Beispiel entspricht die gewürfelte Kombination 16661
dem Wort “Daten”.
Empfohlen wird, mindestens fünf Wörter und ein Zeichen beziehungsweise eine Zahl zu
erwürfeln. Dadurch erhältst Du einen einzigartigen, zufällig generierten und trotzdem leicht
zu merkenden Passsatz wie beispielsweise “sechs olive kosmos moskau 1500 oz”. Es wird
empfohlen, zwischen die einzelnen Wörter ein Leerzeichen zu setzen. Auf die Groß- und
Kleinschreibung kannst Du verzichten. Dein Passsatz ist dann eine Möglichkeit aus etwa 277
Möglichkeiten, was es nahezu unmöglich macht, ihn zu erraten. Und auch für Computerangriffe
ist er durch die große Zeichenanzahl und die Zufallsauswahl der Wörter kaum zu knacken.
Shortfacts - Diceware
Was ist Diceware?
Eine einfache Methode, um sichere Passsätze zu erstellen.
Hintergrundinformationen und Wortlisten:
www.diceware.com
Zeitaufwand je Passsatz:
5 Minuten
Passwortmanager
Ein Passwort-Manager ermöglicht es Dir, Benutzernamen, Anmeldeinformationen und komplexe Passwörter sowie Passsätze zu erstellen und zu speichern. Geschützt sind Deine Daten durch ein Masterpasswort. Dementsprechend sollte dieses möglichst komplex und sicher sein. Darüber hinaus bieten einige Passwort-Manager die Möglichkeit, die gespeicherten Kennwörter zwischen verschiedenen Geräten zu synchronisieren. Du solltest jedoch beachten, dass die Synchronisation mithilfe eines Cloud-Dienstes erfolgt, der von einem Drittanbieter betrieben werden kann. Dadurch gelangen Deine Daten ins Internet. Sicherer wäre es, die Passwortdaten nur lokal auf einem Gerät zu speichern. Der Nachteil eines Passwort-Managers liegt auf der Hand: Schadsoftware, die Dein Masterpasswort abgreift, erhält auch Zugriff auf alle anderen Passwörter, die Du gespeichert hast. Dennoch bieten Dir Passwort-Manager bei richtiger Anwendung eine komfortable Möglichkeit, Deine Passwörter zu verwalten. Ein guter Passwort-Manager ist das Open Source Projekt KeyPassXC. Das Programm bietet einen großen Funktionsumfang, wie das Erstellen komplizierter Passwörter oder die Prüfung Deiner Passwörter auf ihre Stärke. KeyPassXC ist für alle gängigen Computerbetriebssysteme verfügbar und kann durch eine Browserintegartion für Firefox oder Google Chrome, Anmeldefelder von Webseiten direkt im Browser ausfüllen. Nach dem Download des Programms musst Du eine Datenbank erstellen und diese lokal auf Deinem Computer speichern. Anschließend kannst Du Passwort-Einträge hinzufügen. Auch die Synchronisation Deiner Passwortdatenbank zwischen mehreren Computern ist möglich, erfordert aber die Ablage der Datenbankdatei in einer Cloud. Wenn Du diese Option nutzen möchtest, solltest Du auch eine eigene Cloud wie Nextcloud verwenden und nicht auf Anbieter wie Google oder Dropbox zurückgreifen. Mit Apps wie MiniKeePass kann die Datenbank sogar auf Mobilgeräte transferiert und dort geöffnet werden. Allerdings ist dieses Vorgehen kompliziert, da Du die Datenbank nach jeder Änderung auf dem Computer erneut auf das Smartphone übertragen musst, damit diese aktuell bleibt. Eine komfortablere Lösung bieten die Programme LastPass und 1Password. Neben den bereits bei KeyPassXC genannten Funktionen, können sie Deine Daten mühelos zwischen allen Deinen Geräten synchronisieren. 1Password kann Dich zudem daran erinnern, besonders alte oder doppelt verwendete Passwörter zu aktualisieren. Außerdem gestaltet sich die Benutzung einfacher als die von KeyPassXC. Beide Programme sind für alle gängigen Betriebssysteme verfügbar und die Konfiguration erfolgt mühelos nach dem Download der jeweiligen App für Computer oder Smartphone. Allerdings handelt es sich bei LastPass und 1Password um kommerzielle Angebote, denen Du Deine Daten anvertraust. Während LastPass auch in einer kostenfreien Version mit geringfügig reduziertem Funktionsumfang zur Verfügung steht, musst Du 1Password einmalig oder monatlich bezahlen.
Shortfacts - Passwortmanager
Was sind Passwortmanager?
Programme zum Passwörter erstellen und verwalten.
Wo bekomme ich KeyPassXC?
Lizenz: Open Source
Zeitaufwand:
20 Minuten für die Einrichtung
Alternativen:
Kommuniziere verschlüsselt!
Im Internet wird eine Menge Deiner Daten unverschlüsselt übertragen. Das ist so, als würdest Du
sie in einem durchsichtigen Briefumschlag versenden. Die Internetanbieter und Serverbetreiber,
die als elektronische Briefträger an der Kommunikation beteiligt sind, können genauso einfach
mitlesen, wie andere Hacker und Schnüffler. Doch Du kannst etwas dagegen unternehmen. Ein
Programm zur Verschlüsselung Deiner E-Mails ist in wenigen Minuten eingerichtet, für
verschlüsselte Verbindungen zu Webseiten braucht es nur ein Add-on im Browser und für Chats und
Internettelefonie bieten sich ebenfalls verschiedene Programme an. Während Unternehmen und
Geheimdienste, bei unverschlüsselten Nachrichten den Inhalt sehen, wissen sie bei
verschlüsselten Nachrichten nur noch, dass Du etwas versendet hast, aber nicht mehr was. Nur der
Empfänger kann mit dem richtigen Schlüssel die Nachricht öffnen.
Obwohl es technisch einfach ist, werden Nachrichten noch immer viel zu selten verschlüsselt. Ein
Problem ist sicher, dass viele Menschen denken, Verschlüsselung sei eine komplizierte und
aufwändige Sache. Oder sie denken, dass sie selbst nichts zu verbergen hätten und dass Menschen
die ihre Nachrichten verschlüsseln verdächtig sind. Der Einsatz von Verschlüsselungen dient aber
dem Schutz Deiner Privatsphäre.
Achte bei der Auswahl Deiner Verschlüsselungssoftware darauf, dass es sich um eine
Ende-zu-Ende-Verschlüsselung handelt. Nutze Open-Source-Software, denn nur diese kann unabhängig
auf Hintertüren geprüft werden.
Überlege Dir, neben Deiner Kommunikation auch Datenträger wie Festplatten oder USB-Sticks zu
verschlüsseln. Sowohl Apple als auch Windows bieten Optionen für Verschlüsselungen von
Festplatten. Aber auch hier gibt es Open-Source-Alternativen, wie beispielsweise VeraCrypt.
Signal
Ein großer Teil der alltäglichen Kommunikation findet in verschiedenen Instant Messengern
statt. Die mit Abstand meisten Nutzer verzeichnet dabei die Facebook-Tochter WhatsApp. Und
obwohl WhatsApp heute Deine Nachrichten verschlüsselt, gibt es zwei zentrale Argumente, die
für andere Messenger sprechen.
Zum einen kannst Du die Weitergabe und Nutzung Deiner persönlichen Metadaten an Facebook
nicht verhindern und zum anderen ist WhatsApp keine Open-Source-Software.
Als Alternative lässt sich Signal nutzen. Die Messenger App ist ein Open-Source-Projekt und
gilt bei ähnlichem Funktionsumfang als sehr zuverlässig. Einer der großen Fürsprecher von
Signal ist Edward Snowden. Auch Apples iMessage oder der Schweizer Messenger Threema bieten
Ende-zu-Ende-Verschlüsselungen an. Beide Dienste sind jedoch kommerzielle Software und der
Quellcode nicht überprüfbar.
Shortfacts - Signal
Was ist Signal?
Ein Instant Messenger für verschlüsselte Chats und Telefonate.
Wo bekomme ich Signal?
www.signal.org
Plattformen: alle
Lizenz: Open Source
Zeitaufwand
5 Minuten für die Einrichtung
E-Mail Verschlüsselungen
Das Verschlüsseln von E-Mails sollte ein zentraler Bestandteil Deiner Digitalen
Selbstverteidigung sein. Als das wichtigste Verfahren für Verschlüsselungen gilt OpenPGP mit
GPG. Open steht in diesem Fall für Open Source, PGP für “Pretty Good Privacy”. GPG wiederum
steht für “GNU Privacy Guard” und ist ein Programm, das den OpenPGP-Standard verwendet.
Das Ganze klingt komplizierter als es ist. Stell Dir vor, Du bekommst ein Schlüsselpaar, um
Deine E-Mails zu versenden. Einen öffentlichen Schlüssel, von dem Du eine Kopie mit jedem
teilst, der Dir schreiben will. Er liegt in einer kleinen Datei vor, die Du auf Deinem Blog
oder in Deinem E-Mail-Anhang teilen kannst.
Der zweite Schlüssel ist Dein privater Schlüssel. Wenn Dir jemand eine verschlüsselte
Nachricht senden will, braucht er Deinen öffentlichen Schlüssel, um die Mail zu chiffrieren
und Du nutzt Deinen privaten Schlüssel, um die Nachricht zu dechiffrieren.
Der Vorteil dieser asymmetrischen Methode ist, dass nur die öffentlichen Schlüssel
ausgetauscht werden und die privaten Schlüssel geschützt bleiben. Für Fremde ist es
unmöglich, Eure Nachrichten zu lesen.
Um eine Verschlüsselung erstmalig einzurichten, benötigst Du ungefähr 30 Minuten. Nachdem Du
die Software einmal eingerichtet hast, funktioniert sie aber fast von alleine. Um zu
beginnen, besuchst Du als Mac-Nutzer die Seite von GPG Tools oder als Windows-Nutzer die
Seite von Gpg4win. Dort lädst Du Dir die entsprechende Software herunter und befolgst die
Anweisungen des Installationsprogramms. Beide Programme bieten einfache Erklärungen und
Einsteigertipps auf ihren Webseiten an. Die folgenden Schritte beziehen sich auf die
Mac-Variante, GPG Tools. Die Schritte für die Windows-Software sind jedoch sehr ähnlich.
Zunächst musst Du Dir ein eigenes Schlüsselpaar erstellen. Du wählst also “Neu” aus und
füllst das Feld mit Name, E-Mail und einer neuen Passphrase aus. Ist Deine Passphrase zu
einfach, weist Dich das Programm darauf hin. Merke Dir Deine Passphrase gut oder speichere
sie mithilfe eines Passwortmanagers. Hast Du Deine Passphrase vergessen, kann Sie nicht
zurückgesetzt werden und Du musst ein neues Schlüsselpaar erstellen. Nach Eingabe der
Informationen wirst Du gebeten, die Maus zu bewegen, um Zufallswerte zu erzeugen. Diese
werden benötigt, um Deinen Schlüssel zu bilden. Danach ist Dein Schlüsselpaar bereits
erstellt.
Anschließend kannst Du mit dem Mailprogramm von Apple, einem öffentlichen Schlüssel und der
entsprechenden E-Mail-Adresse verschlüsselte Nachrichten versenden. Die Option zum
Verschlüsseln wird Dir in Deinem Mailprogramm angezeigt. Die Schlüssel Deiner Kontakte
speicherst Du einfach in der GPG Keychain. Das ist das Programm, mit dem Du auch Deinen
eigenen Schlüssel erstellt hast und Deinen öffentlichen Schlüssel exportieren und versenden
kannst.
Wenn Du ein anderes E-Mail-Programm verwendest, benötigst Du eventuell noch ein kleines
Zusatzprogramm (zum Beispiel Enigmail für Mozilla Thunderbird).
Shortfacts - PGP
Was ist OpenPGP?
Eine einfache Methode zum Verschlüsseln und Entschlüsseln von E-Mails.
Wo bekomme ich GPG?
www.gpgtools.org (MacOS)
www.gpg4win.de (Windows)
Lizenz: Open Source
Zeitaufwand:
30 Minuten für das Einrichten
Die gute Nachricht ist:
Wir sind nicht paranoid.
Die schlechte Nachricht ist:
Wir werden alle überwacht.
Jederzeit und überall.
Markus Beckedahl
6 Tools gegen Security Nightmares
Bekannte Browser wie Safari, Google Chrome oder der Internet Explorer sind Produkte großer
IT-Konzerne. Eine Alternative stellt der Open-Source-Browser Firefox dar.
Unabhängig von der Wahl des Browsers, werden Deine Daten wie Bilder, Suchanfragen oder
Passwörter häufig unverschlüsselt übertragen. Der Grund dafür ist das “Hypertext Transfer
Protocol” kurz HTTP. Es ist die Sprache, mit der Dein Browser und der Server, auf dem die
Webseite hinterlegt ist, miteinander sprechen.
So wie Du darauf achtest, dass niemand auf den Bildschirm schaut, während Du Dein Passwort
eingibst, solltest Du auch darauf achten, dass niemand entlang der Leitung Deine Daten lesen
kann.
Das geht ganz einfach durch die Verwendung von HTTPS, also dem “Hypertext Transfer Protocol
Secure”, das viele Webseiten unterstützen. Am einfachsten verwendest Du HTTPS, indem Du Dir das
Add-on HTTPS Everywhere installierst.
Um sicherer zu surfen, solltest Du einige weitere Einstellungen vornehmen und die Erweiterungen
installieren, die auf den nächsten Seiten erklärt werden. Wenn Du wirklich anonym surfen
möchtest, kannst Du den Tor Browser verwenden. Dieser ist allerdings etwas langsamer als
gewöhnliche Browser.
Browsereinstellungen
Bestimmte Einstellungen solltest Du unabhängig vom verwendeten Browser vornehmen. Damit
lassen sich einige der Datenlecks ganz einfach schließen. Zwei wichtige Einstellungen
betreffen die Cookies.
Cookies sind kleine Dateien, die Webseiten im Browser abspeichern und die Informationen über
Dich und Dein Surfverhalten beinhalten. Auf manchen Webseiten finden sich dazu noch Cookies,
die von Drittanbietern hinterlegt werden. Besonders diese solltest Du blockieren. Zudem
kannst Du einstellen, dass Cookies gelöscht werden, sobald Dein Browser geschlossen wird.
Damit verhinderst Du, dass Dein Verhalten im Internet von bestimmten Webseiten verfolgt
wird. Beide Optionen bieten alle gängigen Browser an und sind leicht im Menüpunkt
“Einstellungen” zu finden.
Eine weitere Einstellung ist die Aktivierung der Option “Do Not Track”, die ebenfalls von
allen Browsern unterstützt wird. Damit teilt Dein Browser der besuchten Webseite mit, dass
Du nicht getracked werden möchtest. Allerdings handelt es sich dabei um einen freiwilligen
Standard, an den sich die Webseiten nicht halten müssen.
Eine weitere Möglichkeit, weniger Informationen an Konzerne wie Google preiszugeben, ist die
Verwendung alternativer Suchmaschinen. DuckDuckGo ist beispielsweise eine Suchmaschine, die
Deine Privatsphäre respektiert. Wer auf die Vorzüge von Googles hoch entwickelten
Suchalgorithmen nicht verzichten möchte, kann die Seite Startpage.com verwenden. Startpage
stellt eine Art Schutzschild zwischen Deiner Suchanfrage und Google dar. Deine Anfrage wird
über die Server von Startpage geleitet, sodass Google nicht erkennt, dass die Anfrage von
Dir stammt.
Zuletzt solltest Du darauf achten, dass Du Deinen Browser in der neusten Version verwendest,
denn viele Updates dienen dem Schließen von Sicherheitslücken.
uBlock origin
Bei uBlock Origin handelt es sich um einen Ad-Blocker. Das Programm ist Open Source und verhindert zuverlässig, dass Du mit Werbung belästigt wirst. Im Gegensatz zum am häufigsten verwendeten Ad-Blocker, AdBlock Plus, sind die Datenschutzbedingungen bei uBlock Origin besser. AdBlock Plus ermöglicht es Unternehmen zudem, sich von der Liste der geblockten Werbung freizukaufen.
Shortfacts - uBlock
Was ist uBlock?
Ein Ad-Blocker, der Dich vor Werbung beim Surfen schützt.
Wo bekomme ich uBlock Origin?
Auf der Add-on Seite Deines Browsers.
Lizenz: Open Source
Zeitaufwand:
3 Minuten für das Einrichten
HTTPS Everywhere
HTTPS Everywhere ist aus einer Zusammenarbeit des Tor-Projects und der Electronic Frontier Foundation (EFF) entstanden. Es prüft bei jeder Webseite, die Du besuchst, ob diese HTTPS unterstützt. Wenn das der Fall ist, sorgt das Programm dafür, dass Dein Browser eine sichere Verbindung zu dieser Webseite aufbaut. Dabei ist es egal, ob Du die URL selbst eintippst oder einen Link anklickst. Das Tool arbeitet unauffällig im Hintergrund und muss nach seiner Installation nicht mehr beachtet werden.
Shortfacts - HTTPS Everywhere
Was ist HTTPS Everywhere?
Ein Add-on, das dafür sorgt, dass Deine Daten verschlüsselt übertragen werden.
Wo bekomme ich HTTPS Everywhere?
www.eff.org
Lizenz: Open Source
Zeitaufwand:
3 Minuten für das Einrichten
Privacy Badger
Privacy Badger ist ein von der Electronic Frontier Foundation zur Verfügung gestelltes Add-on, das Tracking-Software blockiert, die Dich über mehrere Webseiten hinweg verfolgt. Damit Privacy Badger funktioniert, musst Du nichts weiter tun, als das Programm zu installieren. Angeboten wird das Add-on für alle gängigen Browser.
Shortfacts - Privacy Badger
Was ist Privacy Badger?
Ein Add-on, das dafür sorgt, dass Deine Daten verschlüsselt übertragen werden.
Wo bekomme ich Privacy Badger?
www.eff.org
Lizenz: Open Source
Zeitaufwand:
3 Minuten für das Einrichten
Testurteil: ungenügend
Einige Add-ons sind zwar beliebt, aber nicht unbedingt zu empfehlen.
Zwei Anwendungen die Du nicht verwenden solltest sind Ghostery und Web of Trust (WOT).
Ghostery ist eine Art Ad-Blocker, der aber viel Tracking erlaubt und mit Verkäufen von
Nutzerdaten Schlagzeilen gemacht hat. Ähnliches gilt für WOT. Im Herbst 2016 deckte der
Norddeutsche Rundfunk auf, dass Millionen Internetnutzer von ihren Add-ons ausgespäht und
ihre Daten an Dritte verkauft wurden. Es ist also immer wichtig, dass Du Dich über ein
Programm informierst, bevor Du es installierst.
Teste Deine Browser
Wenn Du testen möchtest, wie gut Dein Browser eingestellt ist, solltest Du Dir das Projekt Panopticlick von der EFF ansehen. Das Programm testet Deinen Browser anhand echter Trackingsoftware, die auch von Unternehmen eingesetzt wird. Nach etwa zwei Minuten erhälst Du das Ergebnis, gegen welche Software Dich Deine Browsereinstellungen schützen. Wenn es etwas zu verbessern gilt, bekommst Du Vorschläge zum Schließen der Sicherheitslücken.
TOR Browser
Selbst wenn Du alle genannten Tools installierst, kann Deine Identität beim Surfen immer
noch anhand Deines Browser Fingerprints festgestellt werden. Wenn Du Dich unerkannt im
Internet bewegen möchtest, solltest Du den Tor Browser nutzen.
Wenn Du mit ihm ins Internet gehst, verbindet sich Dein Computer nicht direkt mit dem Server
einer Webseite. Stattdessen wird eine zufällige und verschlüsselte Verbindung zu einem
Rechner des Tor-Netzwerkes aufgebaut. Von diesem Rechner aus wird dann eine zweite
Verbindung aufgebaut und anschließend noch eine Dritte. Der dritte Computer greift
anschließend auf den Server der Webadresse zu. Durch die mehrfache Umleitung der Verbindung
bist Du zwar anonym, jedoch ein wenig langsamer unterwegs, als gewohnt.
Der Tor Browser ist durch dieses Vorgehen der Eingang ins “Deep Web”, auch “Dark Web”
genannt.
Eine schnellere, aber auch weniger sichere Alternative zum Tor Browser sind Virtuelle
Private Netzwerke (VPN). Du kannst VPNs sowohl auf dem Mobiltelefon, als auch auf dem
Computer nutzen. Dein Gerät kommuniziert verschlüsselt mit einem Server, der dann auf das
Internet zugreift. Die Webseite, auf der Du surfst, sieht dann als Absender die IP-Adresse
des VPN-Servers, den mehrere Leute benutzen. Die IP-Adresse ist allerdings nur ein Element,
das genutzt wird, um Dich zu tracken. Daher sind VPNs vor allem geeignet, um aus einem
ungesicherten Netzwerk über einen sicheren Server auf das Internet zuzugreifen.
Shortfacts - Tor Browser
Was ist der Tor Browser?
Ein Browser, um anonym im Internet zu surfen.
Wo bekomme ich den Tor Browser?
www.torproject.org
Lizenz: Open Source
Zeitaufwand:
3 Minuten für das Einrichten
Governments of the Industrial World, you weary giants of flesh and steel, I come from Cyberspace, the new home of Mind. On behalf of the future, I ask you of the past to leave us alone. You are not welcome among us. You have no sovereignty where we gather.
John Perry Barlow
Es sind Deine Daten!
Um die großen Akteure des Internets wie Google, Apple, Facebook, Amazon und Microsoft kommst Du
kaum herum.
Teil des Geschäftsmodells dieser Konzerne ist der Verkauf der Daten ihrer Nutzer. Genau wie bei
staatlicher Überwachung, werden Deine Daten von Dritten gelesen und ausgewertet. Auf dieser
Basis erstellen die Unternehmen Nutzerprofile und versuchen möglichst maßgeschneiderte Werbung
zu platzieren. Auch Strafverfolgungsbehörden können auf diese Daten Zugriff erlangen.
Doch nur weil Du Google oder Facebook nutzt, verlierst Du nicht Dein Recht auf Privatsphäre. Du
kannst zumindest einstellen, wer welche Informationen von Dir sehen kann. Auch wenn es
abgedroschen klingt und schon oft gesagt wurde: Achte darauf, welche Daten Du im Internet
preisgibst.
Dein Smartphone ist durch die Bündelung vieler Funktionen wohl die größte Datensammelmaschine.
Vermutlich begleitet Dich Dein Handy auf Schritt und Tritt und sammelt eine Menge Informationen
über Dich. Es sendet Google und Facebook, auf welcher Party Du warst, mit wem Du dort ein
Selfies geschossen hast, wie Du danach nach Hause gekommen bist, welche Musik Du dabei gehört
hast und wie gut Dein Schlaf war.
Darüber hinaus reichen schon vier zufällig ausgewählte Apps Deines Smartphones aus, um es mit 95
Prozent Wahrscheinlichkeit zu identifizieren. Doch auch hier kannst Du einige Einstellungen zum
Schutz Deiner Freiheit vornehmen.
Datenschutz bei Google und Facebook
In den Anzeigeneinstellungen Deines Google-Profils findest Du ein grobes Nutzerprofil mit
Alter, Sprachen, Geschlecht und Interessen. Du kannst einstellen, ob Du personalisierte oder
zufällige Werbung bekommen möchtest. Hier wird Transparenz suggeriert, allerdings werden
durch Änderungen in den Einstellungen weder weniger Daten gespeichert, noch bekommst Du
weniger Werbung.
Im Standortverlauf speichert Google alle Ortsdaten, die es von Deinen Geräten erhält. Es
wird eine persönliche Karte mit Orten erstellt, die Du häufig besuchst. Diese Funktion lässt
sich abstellen, sodass keine neuen Standortdaten mehr gesammelt werden.
Im Bereich Aktivitätsanzeige speichert Google alle Deine Suchanfragen, welche Links Du
angeklickt und welche Bilder oder Videos Du Dir angesehen hast. Du kannst Deinen Suchverlauf
löschen und die Speicherung deaktivieren. Darauf zu vertrauen, dass Google nach dem
Deaktivieren der verschiedenen Funktionen keine Daten mehr über Dich speichert wäre aber
fahrlässig. Du kannst zudem auch die Daten herunterladen, die Google in verschiedenen
Diensten über Dich gespeichert hat. Den entsprechenden Link findest Du im Bereich
“Datenschutz und Nutzungserklärung”.
Bei der Nutzung von Facebook ist es wichtig, Deine Privatsphäre-Einstellungen zu prüfen.
Hier können bereits einige Lücken geschlossen werden. Du kannst hier beispielsweise
verhindern, dass Dein Facebook Profil standardmäßig von Suchmaschinen und damit von völlig
fremden Personen gefunden und aufgerufen werden kann. Neben den Datenschutzeinstellungen ist
es wichtig, dass Du Dich bei Facebook immer wieder ausloggst, da der Konzern sonst sehr
einfach Dein komplettes Surfverhalten im Netz analysieren kann. Damit das kein großer
Aufwand ist, kannst Du einen Passwortmanager verwenden.
Wie auch bei Google, kannst Du bei Facebook einen Teil der über Dich gespeicherten Daten
abrufen. Dazu gehst Du auf “Einstellungen” und dort auf den Reiter “Deine Facebook
Informationen”. Auf dieser Seite kannst Du über Dich gespeicherte Informationen einsehen und
bei Bedarf herunterladen. Wenn Du den Anweisungen folgst, bekommst Du eine E-Mail mit einem
Downloadlink Deiner Daten. Dort findest Du unter anderem alle Deine Gespräche, alle
Schlagworte, zu denen Du Werbung bekommst, Deine Bilder und Posts, sowie die IP-Adressen von
denen aus Du Dich eingeloggt hast. Es ist allerdings unklar, ob Du hier alle über Dich
gespeicherten Daten von Facebook erhältst.
Generell bietet sich Dir durch die neue europäische Datenschutz-Grundverordnung (DS-GVO) nun
die Möglichkeit, von Unternehmen zu erfahren, welche Daten Sie über Dich gespeichert haben.
Denn entsprechend der DS-GVO hat jeder EU-Bürger das Recht auf Auskunft über die Daten, die
ein Unternehmen über Dich besitzt und zu welchem Zweck diese Daten gespeichert und
verarbeitet werden. Darüber hinaus hast Du das Recht zu erfahren, mit wem Deine Daten
geteilt werden und woher sie stammen. Die Auskunft müssen Dir die Unternehmen kostenlos
innerhalb eines Monats nach Deiner Anfrage erteilen.
Shortfacts - Daten bei Google
Einstellung für Werbeanzeigen:
Adsettings
Standortverlauf:
Standorte
Aktivitätsanzeige:
Aktivitäten
Daten von Google herunterladen:
Deine Daten bei Google
Shortfacts - Daten bei Facebook
Deinen Facebook-Datensatz herunterladen:
Klicke auf "Einstellungen“ ->
"Deine Facebook Informationen“ ->
"Lade eine Kopie Deiner ->
Facebook-Daten herunter“
Cloud Alternativen
Google Drive, Dropbox, Office 365 oder iCloud sind komfortable Cloud Lösungen, die aber als
amerikanische Unternehmen verpflichtet sind, bei Verdacht Behörden Zugang zu Deinen Daten zu
geben. Eine Möglichkeit dem zu entgehen, ist die Verwendung einer eigenen Cloud. Eigene
Cloud Lösungen haben den Vorteil, dass Du die volle Kontrolle über Deine Daten behältst.
Voraussetzung ist allerdings, dass Du einen Webspace bei einem vertrauenswürdigen Anbieter
erwirbst, auf dem Du Deine Cloud installieren kannst.
Besonders zu empfehlen ist die Open Source Software Nextcloud. Die Installation ist sehr
einfach und bei vielen Webspace Anbietern sogar schon vorkonfiguriert. Für Nextcloud steht
die Sicherheit Deiner Daten an oberster Stelle. Sie besitzt alle Funktionen, die Du auch von
anderen Cloudanbietern kennst. Du kannst also Dateien zwischen allen Deinen Geräten
Synchronisieren oder via Client und Weboberfläche teilen. Durch den modularen Aufbau von
Nextcloud kannst Du selbst entscheiden, welche Erweiterungen Du installieren möchtest. So
hast Du die Möglichkeit, eine Alternative für Google Docs zu konfigurieren oder Deine
Kalender und Kontakte über die Cloud zu verwalten und mit allen Deinen Geräten bequem zu
synchronisieren.
Shortfacts - Nextcloud
Was ist Nextcloud?
Eine Cloud-Software, die auf einem eigenen Webspace oder Server installiert werden kann.
Wo bekomme ich Nextcloud?
Lizenz: Open Source
Zeitaufwand:
In etwa eine Stunde für das erstmalige Einrichten
Smartphone schützen
Im Jahr 2018 werden mehr Menschen das Internet mit dem Smartphone nutzen als mit
herkömmlichen Computern. Auch für die Nutzung von Smartphones sollten deswegen ein paar
grundlegende Sicherheitsregeln beachtet werden. Insbesondere der Menüpunkt “Ortungsdienste”
(iOS) bietet einige Möglichkeiten, um den Zugriff auf Deine Daten einzuschränken. Dort
kannst Du einstellen, welche Apps auf Deinen Standort zugreifen dürfen. Die Funktionen
“ortsabhängige Apple Ads”, “Häufige Orte” sowie mehrere Optionen zur Produktverbesserung
kannst Du ausschalten. Sie erfassen Daten, bringen Dir aber keinerlei Vorteile. Bei Android
finden sich ähnliche Einstellungsmöglichkeiten im Menüpunkt “Standort”.
Wenn Du beim Surfen mit dem Smartphone oder bei der Nutzung von Apps keine personalisierte
Werbung bekommen möchtest, kannst Du die Funktion “Kein Ad-Tracking” aktivieren. Diese ist
sowohl für iOS als auch für Android verfügbar. ...Weniger Werbung bekommst Du trotzdem nicht
angezeigt. Außerdem kannst Du auch auf dem Smartphone die Option “Do Not Track” für Deinen
Browser einstellen und einen Ad-Blocker installieren. Leider funktionieren sie nicht so
effektiv wie auf dem Computer.
Zudem solltest Du immer überprüfen, welche Zugriffsrechte bestimmte Apps haben möchten.
Viele Apps wollen auf Daten zuzugreifen, die für die Nutzung nicht notwendig wären. Generell
solltest Du Deine Apps und Dein Smartphone-Betriebssystem stets auf dem aktuellen Stand
halten, da die Updates oftmals der Sicherheit dienen.
The sheer size of data is too large, and in spite of all intricate programs for detecting suspicious messages, computers that register billions of data are too stupid to interpret and evaluate them properly, ridiculous mistakes where innocent bystanders are listed as potential terrorists occur necessarily – and this makes state control of communications even more dangerous.
Slavoj Žižek
Heimliche Helden des Internets
Für die Digitale Selbstverteidigung ist es wichtig, dass Du Dich informierst und diejenigen
unterstützt, die sich für ein offenes und freies Internet engagieren.
Eine sehr gute Informationsquelle ist das Blog netzpolitik.org. Die Bandbreite der Inhalte
reicht vom tagesaktuellen netzpolitischen Geschehen, über Netzkultur bis zu
Hintergrundinformationen und Expertenwissen zu Überwachung oder Datenschutz. Da sich
netzpolitik.org ausschließlich durch die Spenden seiner Leser finanziert, kann die Redaktion
unabhängigen Journalismus mit Haltung betreiben. Wenn Du ihre Arbeit unterstützen möchtest, geht
das mit einer kleinen Spende. Weitere Anlaufpunkte in Deutschland sind die Digitale Gesellschaft
und der Chaos Computer Club.
Die international bekannteste Organisation, die sich für ein freies Internet einsetzt, ist die
Electronic Frontier Foundation (EFF). Seit 1990 setzt sie sich für Grundrechte im digitalen
Zeitalter ein. Auf ihrer Webseite findest Du umfangreiche Informationen über alles, was mit dem
Internet zu tun hat und einen sehr guten englischsprachigen Guide zur digitalen
Selbstverteidigung. Darüber hinaus entwickelt die EFF selbst Programme wie den Privacy Badger,
Panopticlick oder HTTPS Everywhere. Eine Mitgliedschaft bei der EFF kann man gegen eine kleine
Spende abschließen.
Auch bei Wahlen solltest Du auch auf netzpolitische Themen achten. Die Anteile netzpolitischer
Inhalte in den Wahlprogrammen und der Einsatz für digitale Freiheitsrechte unterscheiden sich
zwischen den Parteien mitunter sehr stark. Für die einen ist das Internet auch 2018 noch
Neuland, für die anderen ist das Internet ein Ort, an dem Freiheit und Gleichheit verteidigt
werden müssen.